もしもあなたが、セキュリティ担当者になったのなら、まずはインシデント対応ツールの活用方法について知っておくべきでしょう。
インシデントの発生は、どんなに予防策を講じたとしても完全に防ぐことは出来ません。
万が一に備えてインシデント対応ツールについて知り、活用できるよう備えましょう。
また、以下で紹介するツールについて、まずVMwareやVirtualBoxなどの仮装環境下で試行するのが良いでしょう。
初動の基本(最悪の事態を想定した証拠保全)
インシデント発生時に最も重要となるポイントが初動対応です。
被害内容がはっきりしており、影響が大きいものに関しては、迅速な「証拠保全」の作業が必要となります。
証拠保全が必要な大きな理由の1つは再帰的な調査が可能であるからです。
被害PCを直接操作してしまうと、当時の環境は二度と再現することができなくなってしまいます。
証拠保全のポイント
ここでいう証拠保全とは、メモリやハードディスクのイメージ(物理コピー)を取得することです。
単なるログの収集とは異なるものなのです。
ログだけで不十分な理由は、ログに「改ざん」の可能性があるためです。
証拠保全は、「データ改ざんの確率の低い箇所から行うことで、比較的信憑性の高いデータを得ることができる」と心得ましょう。
以下ではAccessData社の「FTK Imager Lite」を使用した保全を紹介します。
メモリダンプの取得
近年のマルウェアは、非常に複雑な動作を行うことがあり、その被害を被った場合に、被害内容・影響範囲・侵入手口の解明などのあらゆる面で時間を要することになってしまいます。
そのような状況に陥らぬよう、「メモリダンプ」を取得しておきたい。
メモリダンプは揮発性情報を含むため、
例えば
- ネットワーク情報
- プロセス情報
- OS関連の情報(レジストリ、イベントログ、ユーザー入力情報など)
といった情報が記録されています。
攻撃者が標的PCに侵入後にマルウェアをインストールする可能性が高いと仮定します。
その場合、高い確率でインストールされたマルウェアは継続的に動作するでしょう。
このような前提条件を想定することで、起動しているマルウェアに関係したプロセス情報がメモリダンプから収集できるはずなのです。
FTK Imager Liteの入手と保全準備
まずは「FTK Imager Lite」を入手しましょう。
Lite版を利用する理由は、外付けハードディスクなどに入れて利用することができるからです。
- ツール名:FTK Imager Lite
- 使用目的:証拠保全
- 入手方法:https://accessdata.com/product-download/digital-frensics/ftk-imager-lite-version-3.1.1
ダウンロード後、解凍してプログラム実行可能な状態にしましょう。
USBメモリや外付けハードディスクなどの外部記憶媒体に解凍しても良いです。
メモリダンプの取得方法
FTK Imager Liteを利用することによって、2ステップの操作で簡単にメモリダンプを取得することができます。
- 管理者権限でFTK Imager Liteを起動し、「Capture Memory」をクリック
- 「Destination path」に保存先フォルダーを指定して、「Capture Memory」をクリック
関連
インシデント対応ツールの基礎知識 「FTK Imager Lite」に触れる・メモリダンプの活用